Handelsblatt

MenüZurück
Wird geladen.

23.05.2017

16:23 Uhr

Cyberangriff mit „Wanna Cry“

Die Spuren führen nach Nordkorea

VonChristof Kerkmann

Devisen für Kim Jong-Un? Hinter der Erpressungssoftware „Wanna Cry“ steckt wohl Nordkorea. IT-Sicherheitsforscher finden neue Indizien. Obwohl die Ransomware viele PCs infiziert hat, fließt das Lösegeld aber spärlich.

In der Erpressungssoftware kommen Bausteine zum Einsatz, die mit der Hackergruppe Lazarus in Verbindung gebracht werden. Reuters

Screenshot von „Wanna Cry“

In der Erpressungssoftware kommen Bausteine zum Einsatz, die mit der Hackergruppe Lazarus in Verbindung gebracht werden.

DüsseldorfWer steckt hinter dem Cyberangriff, der kürzlich Hunderttausende Computer lahmlegte? Sicherheitsforscher haben neue Indizien gefunden, dass Nordkorea etwas damit zu tun haben könnte: Die Werkzeuge und Infrastrukturen, die bei der Verbreitung der Erpressungssoftware „Wanna Cry“ zum Einsatz kamen, deuteten stark auf die Gruppe Lazarus hin, erklärte der IT-Sicherheitsanbieter Symantec in einem Blogeintrag. Sie stehe mit dem Staat in Verbindung.

„Wanna Cry“ legte Mitte Mai mehr als 240.000 Computer lahm, zum Beispiel in britischen Krankenhäusern, bei großen Konzernen wie Telefónica und Fedex sowie im russischen Innenministerium. Bei der Deutschen Bahn fielen zwischenzeitlich zahlreiche Anzeigentafeln aus. Die unbekannten Täter schleusten die schädliche Software über eine Sicherheitslücke ein und forderten für die Freigabe der Daten ein Lösegeld – zu zahlen in der Digitalwährung Bitcoin. Experten bezeichnen diese Betrugsmasche als Ransomware.

Was ist Ransomware?

Was sind Malware und Ransomware?

Malware ist ein allgemeiner Begriff, der Software bezeichnet, die schädlich ist, wie John Villasenor, Professor an der Universität von Kalifornien, erklärt. Ransomware sei ein Typ von Malware, der in erster Linie Computer übernehme und deren Nutzer daran hindere, an Daten zu gelangen, bis ein Lösegeld dafür gezahlt werde, so Villasenor.

Wie wird der Computer mit Ransomware infiziert?

In den meisten Fällen befällt die Ransomware den Computer durch Links oder Anhänge in schädlichen E-Mails, auch bekannt als sogenannte Phishing-Mails. Der beste Tipp sei hierbei, einfach nicht auf Links in E-Mails zu klicken, sagt Jerome Segura von der US-Softwarefirma Malwarebytes, die Softwares gegen die Ransomware anbietet. Ziel der Ransomware sei es, den Nutzer dazu zu bekommen, einen schädlichen Code zu aktivieren. Klicken die Nutzer einmal auf den schädlichen Link oder den Anhang, gelangt die Schadsoftware auf den Computer.

Was passiert bei Ransomware?

Wie der Name der Ransomware - „ransom“ ist das englische Wort für Lösegeld - nahelegt, nimmt die schädliche Software Daten quasi als Geisel. „Sie findet alle Ihre Dateien, verschlüsselt diese und hinterlässt eine Nachricht“, sagt Peter Reiher, Professor an der Universität von Kalifornien. „Wenn Sie möchten, dass sie entschlüsselt werden, müssen Sie bezahlen.“ Die Ransomware benutzt für die Verschlüsselung einen Schlüssel, den nur der Angreifer kennt. Zahlt der Nutzer das Lösegeld nicht, sind die Dateien oft für immer verloren, weil sie nicht mehr entschlüsselt werden können.

Hat die Ransomware einen Computer übernommen, sind die Angreifer mit ihren Forderungen meist sehr direkt, wie Segura sagt. In vielen Fällen ändern sie das Hintergurndbild des Bildschirms des PCs und geben sehr genaue Anweisungen, wie der Nutzer das Geld bezahlen kann. Viele der Hacker verlangen zwischen 300 und 500 Dollar, um die Dateien wieder zu entschlüsseln. Der Preis dafür kann sich auch verdoppeln, wenn nicht innerhalb von 24 Stunden bezahlt wird. Vertreter der Strafverfolgung raten jedoch, kein Lösegeld zu bezahlen.

Wie können solche Attacken verhindert werden?

Der erste Schritt sei es, umsichtig zu sein, so Experten. Eine „perfekt Lösung“ für das Problem gäbe es jedoch nicht, sagt Villasenor. Nutzer sollten regelmäßig ihre Daten sichern und prüfen, dass Sicherheits-Updates installiert werden, sobald diese veröffentlicht werden. Die Attacke von Freitag nutzte eine Sicherheitslücke von Microsoft Windows, für die nach Angaben des Unternehmens bereits Updates bereitgestellt worden waren. Viele Nutzer hatten sie jedoch noch nicht installiert.

Nutzer sollten zudem auf schadhafte E-Mails achten, die oft als E-Mails von Firmen oder Menschen getarnt sind, mit denen häufig E-Mail-Kontakt besteht. Es sei wichtig, nicht auf Links oder Anhänge zu klicken, da diese die Ransomware freisetzten, so Villasenor.

Die IT-Sicherheitsforscher von Symantec untersuchten, welche Werkzeuge, Techniken und Infrastrukturen die Angreifer genutzt hatten. Dabei entdeckten sie nach eigenen Angaben „substanzielle Gemeinsamkeiten“ mit früheren Aktivitäten der Gruppe Lazarus, die Experten mit Nordkorea in Verbindung bringen. So seien einige Softwareelemente identisch, zudem sei die Kommunikation teilweise über die gleichen Netzwerke gelaufen.

Es sei daher „höchst wahrscheinlich“, dass sie auch hinter „Wanna Cry“ stecke, erklärten die Symantec-Experten. Die Firma Fireeye bestätigte die Einschätzung gegenüber der Nachrichtenagentur Bloomberg grundsätzlich. Die Funde zeigten mindestens, dass die Erpresser Ressourcen zur Softwareentwicklung mit nordkoreanischen Spionageeinheiten teilten, erklärte Analyst Ben Read.

Die Gruppe ist nach Einschätzung von IT-Sicherheitsforschern bereits seit mehreren Jahren aktiv. So soll sie hinter dem Cyberangriff auf Sony Pictures stehen, bei dem sie 2014 vertrauliche Daten wie E-Mails, Gehaltslisten und unveröffentlichte Filme des Studios erbeutete und online stellte. Womöglich als Rache für die Komödie „The Interview“: In der Satire kommt der nordkoreanische Machthaber Kim Jong-Un zu Tode. Auch der digitale Bankraub bei der Zentralbank von Bangladesch wird mit der Gruppe in Verbindung gebracht. Die Täter erbeuteten dabei 81 Millionen Dollar.

Ransomware: Zahlen oder nicht?

Drohen mit Datenmüll

Programme wie Locky, Teslacrypt oder Petya setzen den Nutzer unter Druck: Wenn er nicht zahlt, drohen seine E-Mails, Office-Dokumente und Fotos zu unlesbarem Datenmüll zu werden.

Zahlen mit Bitcoins

Die Erpresser verlangen in den meisten Fällen zwischen 200 und 800 Euro – es handelt sich also um Summen, die viele Nutzer zahlen können. Überwiesen wird das Geld in der Digitalwährung Bitcoin, die den Kriminellen Anonymität ermöglicht.

Freikaufen klappt manchmal...

Erfahrungsberichte zeigen, dass die Kriminellen nach der Zahlung des Lösegeldes durchaus Daten freigeben. Andernfalls würde ihr Geschäftsmodell mit der Zeit zusammenbrechen. Experten warnen allerdings, dass es häufig auch nicht klappt – das Geld ist trotzdem verloren.

... ist aber fragwürdig

Allerdings ist im Umgang mit Kriminellen nichts garantiert. Zudem sorgen Opfer mit ihren Zahlungen dafür, dass das Geschäftsmodell floriert – und so für die kriminellen Hacker ein Anreiz besteht, weiterzumachen. Es ist also eine Abwägung, die Betroffene vornehmen müssen.

Entschlüsseln, aber nicht zahlen

Die Hacker setzen die Verschlüsselungstechnik oft nicht richtig ein. Dann haben Experten die Möglichkeit, sie zu umgehen und so die Daten wiederzustellen. Die Website id-ransomware.malwarehunterteam.com zeigt, ob ein Trojaner zu knacken ist.

Manchmal hilft Geduld...

Bis Experten eine Möglichkeit entwickelt haben, um die Ransomware zu umgehen, kann allerdings etwas Zeit vergehen. Wer die Daten unbedingt braucht, wird darin also keine Alternative sehen.

... immer hilft ein Backup

Die Erkenntnis ist banal, aber immer noch nicht weit verbreitet: Der beste Schutz gegen Ransomware sind regelmäßige Back-ups, also Datensicherungen. Selbst wenn andere Schutzmaßnahmen nicht greifen sollten, sind Nutzer nicht erpressbar.

Vorfall der Polizei melden

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert Ransomware-Opfer dazu auf, bei der Polizei eine Anzeige zu erstatten. Das hilft dabei, ein genaueres Bild vom Ausmaß der Kriminalität zu bekommen. Nutzer sollten dafür den Sperrbildschirm abfotografieren und rekapitulieren, was zur Infektion geführt haben könnte.

Eine eindeutige Zuordnung des Cyberangriffs ist allerdings unmöglich – in der digitalen Welt lassen sich Spuren leicht verwischen oder fälschen. Nordkorea bestritt denn auch bereits vor einigen Tagen, als erste Vorwürfe öffentlich wurden, jedwede Beteiligung. Allerdings würde der massenhafte Erpressungsversuch durchaus ins Muster passen: Der Auslandsgeheimdienst unterhält nach einem Bericht der Nachrichtenagentur Reuters eine Gruppe namens „Einheit 180“, die mit Cyberangriffen nicht zuletzt Devisen beschaffen soll.

Damit sei das Land erfolgreicher als mit Drogenhandel, Fälschungen oder Schmuggel, sagte der Nordkoreaexperte James Lewis der Agentur. Ähnlich äußerte sich der frühere Informatikprofessor Kim Heung Kwang, der 2004 nach Südkorea überlief. „Einheit 180“ greife Banken an und hebe Geld von Konten ab. Die Hacker arbeiteten vom Ausland aus, um keine Spuren zu hinterlassen.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×